애플 홈페이지 관련 대량 SQL 삽입 공격 탐지

관련 뉴스

http://www.theregister.co.uk/2010/08/17/apple_sql_attack/

세부기술정보

http://isc.sans.edu/diary.html?storyid=9397

탐지 시그니처는 여러 가지 문구로 가능하다.

declare%20@s%20, );set%20 ,;exec(@s) 등등

여기서 특이 한 점은 cast안에 헥사 코드가 들어가있고 변환을 한다는점.

따라서 이런식으로 잡으면 되겟다.

alert tcp any any -> any 80 (flow:established, to_server; uricontent:”cast(0x”; pcre:”/cast\x280x(44|64)(45|65)(43|63)(4c|6c)(41|61)(52|72)(45|65)/i”;)

Advertisements

About this entry